Jump to content

RSS News

Moderator
  • Content Count

    557
  • Joined

  • Last visited

About RSS News

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. Исследователи безопасности из компании NCC Group обнаружили 26 уязвимостей в операционной системе реального времени Zephyr, специально разработанной для IoT-приложений, и аппаратно-независимом загрузчике с открытым исходным кодом MCUboot. Эксплуатация уязвимостей позволяет злоумышленнику вызвать отказ в обслуживании (DoS) и повысить привилегии. Данные компоненты содержатся в ряде датчиков и IoT-устройств, включая детские мониторы, светодиоды и беспроводные шлюзы. NCC Group обнаружила 25 уязвимостей в Zephyr, и одну в MCUboot. Эксперты обнаружили проблемы, связанные с повреждением памяти, множественные пути, позволяющие скомпрометированному пользовательскому приложению повысить привилегии до уровня ядра, и многочисленные уязвимости в дизайне некоторых систем защиты в ядре. Проблемы могут быть проэксплуатированы как локально, так и удаленно. Уязвимость удаленного повреждения памяти в стеке Zephyr IPv4 может быть проэксплуатирована путем отправки одного специально сформированного ICMP-пакета. Синтаксический анализатор MQTT также содержал уязвимость (CVE-2020-10062) удаленного повреждения памяти, которая была связана с некорректной проверкой полей длины, извлеченных из заголовка MQTT-пакета. Стек IPv6 содержит DoS-уязвимость — удаленный злоумышленник может нарушить работоспособность ядра путем отправки серии вредоносных пакетов. Другая DoS-уязвимость (CVE-2020-10063) была обнаружена в драйвере протокола CoAP. В подсистеме USB было обнаружено несколько проблем, которые могут быть проэксплуатированы вредоносным хостом с подключенным к нему устройством Zephyr. Например, драйвер USB DFU содержал опасную уязвимость (CVE-2020-10019) повреждения памяти, а драйвер USB-накопителя содержал множественные уязвимости (CVE-2020-10021) повреждения памяти и проблемы, позволяющие извлечь данные из памяти. Недочет в дизайне USB DFU позволяет атакующему раскрыть образ прошивки в открытом тексте во внутренней памяти микроконтроллера и таким образом обойти функцию шифрования в MCUboot. В настоящее время были исправлены 15 из 26 обнаруженных проблем. Источник: https://www.securitylab.ru/news/508787.php
  2. Киберпреступники из группировки REvil опубликовали на своей странице конфиденциальные данные электроэнергетической компании Elexon. Опубликованные данные включают 1280 файлов, в том числе паспорта сотрудников Elexon и конфиденциальную информацию компании. Напомним, 14 мая нынешнего года преступники осуществили кибератаку на Elexon, играющую ключевую роль в системе электроснабжения Великобритании. Инцидент затронул только внутреннюю IT-сеть компании и ноутбуки сотрудников. Почтовый сервер также пострадал и был отключен. По словам экспертов, злоумышленники эксплуатировали уязвимость (CVE-2019-11510) в устаревшей версии SSL VPN-сервера корпоративного уровня Pulse Secure, который использовала компания. Предположительно, представители Elexon отказались выполнять требования вымогателей и вместо этого восстановили свою IT-инфраструктуру из резервных копий. Данное решение и могло послужить причиной публикации конфиденциальных данных. Источник: https://www.securitylab.ru/news/508790.php
  3. Специалисты из компании Citadelo сообщили об уязвимости ( CVE-2020-3956 ) в ПО VMware Cloud Director. Ее эксплуатация позволяет злоумышленнику получить доступ к конфиденциальной информации, управлять частными облаками в рамках всей инфраструктуры, а также выполнить произвольный код. VMware Cloud Director — популярное программное обеспечение для развертывания, автоматизации и управления ресурсами виртуальной инфраструктуры в многопользовательских облачных средах. Критическая уязвимость связана с некорректной обработкой вводимой информации и может быть использована авторизованным злоумышленником для отправки вредоносного трафика в Cloud Director, что приведет к выполнению произвольного кода. Проблема получила оценку в 8,8 балла по шкале CVSS v.3 и затрагивает версии VMware Cloud Director от 10.0.x до 10.0.0.2, от 9.7.0.x до 9.7.0.5, от 9.5.0.x до 9.5.0.6 и от 9.1.0.x до 9.1.0.4. Уязвимость может быть проэксплуатирована через пользовательские интерфейсы на основе HTML5 и Flex, интерфейс API Explorer и доступ через API. По словам исследователей, они смогли получить доступ к произвольным классам Java и создать их экземпляры, передавая вредоносные полезные данные. Эксплуатация уязвимости позволяла выполнять следующие действия: Просмотреть содержимое внутренней базы данных, включая хэши паролей всех клиентов, выделенных для этой инфраструктуры. Изменить системную базу данных для доступа к другим виртуальным машинам различных организаций в Cloud Director. Повысить привилегии от администратора до системного администратора с доступом ко всем облачным учетным записям путем простого изменения пароля с помощью SQL-запроса. Изменить страницу авторизации в Cloud Director, чтобы перехватывать пароли другого клиента в виде открытого текста, включая учетные записи системного администратора. Читать конфиденциальные данные, связанные с клиентами, включая полные имена, адреса электронной почты или IP-адреса. Эксперты также опубликовали PoC-код для эксплуатации данной уязвимости на GitHub. Специалисты из Citadelo сообщили о своих находках VMware, и компания выпустила новые версии ПО 9.1.0.4, 9.5.0.6, 9.7.0.5 и 10.0.0.2. Источник: https://www.securitylab.ru/news/508798.php
  4. Команда безопасности GitHub предупредила о новом вредоносном ПО под названием Octopus Scanner, которое распространяется по сайту через вредоносные Java-проекты. Вредоносная программа была обнаружена в проектах, управляемых с помощью инструмента Apache NetBeans IDE, предназначенного для написания и компиляции Java-приложений. На проблему обратил внимание один из ИБ-исследователей, который предупредил об этом команду GitHub. Расследование выявило 26 репозиториев на сайте, содержавших вредонос Octopus Scanner. Как пояснили представители GitHub, при загрузке любого из зараженных проектов, вредонос вел себя как самораспространяющийся червь и инфицировал локальные компьютеры. Вредоносное ПО сканировало рабочую станцию жертвы на предмет локальных установок NetBeans IDE и заражало другие Java-проекты разработчика. Octopus Scanner способен работать на устройствах на базе Windows, macOS и Linux, его конечной целью является установка трояна для удаленного доступа (RAT), позволяющего операторам вредоноса просматривать данные на инфицированном компьютере в поисках важной информации, касающейся разрабатываемых инструментов, проприетарного исходного кода и пр. Как отмечается, основная цель кампании, которая, судя по дате загрузки на Virus Total самого старого образца вредоноса (август 2018 года), длится уже два года, заключается в установке RAT на компьютеры разработчиков, занимающихся важными проектами или работающих на крупные компании, специализирующиеся на производстве программного обеспечения. Команда GitHub нашла всего 26 вредоносных проектов, но специалисты считают, что за два года вредонос мог заразить значительно больше проектов. Команда не привела названия вредоносных проектов, но опубликовала подробную информацию о процессе инфицирования Octopus Scanner, пользуясь которой разработчики смогут определить, заражены их проекты или нет. Источник: https://www.securitylab.ru/news/508743.php
  5. Исследователь безопасности Бхавук Джайн обнаружил опасную уязвимость в функции «Вход с Apple». Эксплуатация уязвимости позволяет злоумышленнику удаленно обойти аутентификацию и перехватить контроль над учетными записями целевых пользователей в сторонних службах и приложениях, для авторизации в которых использовалась функция «Вход с Apple». Запущенная в прошлом году функция «Вход с Apple» была представлена в качестве возможности авторизации с сохранением конфиденциальности, позволяя регистрировать учетные записи в сторонних приложениях без раскрытия адреса электронной почты. Уязвимость была связана с тем, как Apple проверяла пользователя на стороне клиента перед инициацией запроса с серверов проверки подлинности Apple. Во время аутентификации пользователя через функцию «Вход с Apple» сервер генерирует JSON Web Token (JWT), содержащий конфиденциальную информацию, которую стороннее приложение использует для подтверждения личности пользователя, вошедшего в систему. Хотя компания просит пользователей войти в свою учетную запись Apple перед началом запроса, она не проверяла, запрашивает ли тот же человек JSON Web Token (JWT) на следующем шаге со своего сервера аутентификации. Таким образом, отсутствие данной проверки могло позволить злоумышленнику предоставить Apple ID, принадлежащий жертве, обманывая серверы Apple с целью создания полезной нагрузки JWT и входа в сторонний сервис с использованием данных жертвы. По словам специалиста, уязвимость может быть проэксплуатирована, даже если пользователь скрыл свой идентификатор электронной почты от сторонних служб, и может также использоваться для регистрации новой учетной записи с идентификатором Apple ID жертвы. Бхавук сообщил о своих находках команде безопасности Apple в прошлом месяце, и компания исправила данную уязвимость. Источник: https://www.securitylab.ru/news/508744.php
  6. В апреле нынешнего года предположительно иранские киберпреступники атаковали несколько объектов водоснабжения и очистки в Израиле. Как сообщили источники газеты The Financial Times, злоумышленники пытались повысить уровень хлора в воде, поступающей в жилые районы страны. По словам главы Национального кибер-директората Израиля, целью нападения могло быть смешивание хлора или других химических веществ в водоснабжении, и здоровье сотен жителей страны могло оказаться под угрозой. Также была вероятность, что в результате атаки был бы вызван отказ в обслуживании систем, в результате чего тысячи граждан остались бы без воды. «Атака была куда более сложной, чем изначально предполагали израильские власти. Преступники были близки к успеху, однако пока неизвестно, почему атака провалилась», — отметил источник газеты. Западный и израильские чиновники, проинформированные об атаке, сообщили газете, что злоумышленники взломали программное обеспечение, которое запускает насосы, и в ходе кибератаки использовали американские сервера. Напомним, ранее Израиль был заподозрен в осуществлении кибератаки на крупнейший в Иране порт Шахид-Раджаи в городе Бендер-Аббас, вызвавшей сбой в работе терминалов. Взлом мог быть ответом на попытку иранских преступников атаковать израильскую водную инфраструктуру. Источник: https://www.securitylab.ru/news/508760.php
  7. Команда исследователей из Университета Пердью (США) и Швейцарского федерального технологического института в Лозанне обнаружила 26 уязвимостей в стеке драйверов USB, используемых в таких операционных системах, как Linux, macOS, Windows и FreeBSD. Проблемы были выявлены с помощью разработанного специалистами инструмента под названием USBFuzz. Инструмент позволяет отправлять большое количество некорректной или случайной информации в качестве входных данных для других программ, а затем исследователи безопасности анализируют поведение тестируемого программного обеспечения с целью обнаружить уязвимости. Эксперты протестировали USBFuzz на 9 последних версиях ядра Linux (v4.14.81, v4.15, v4.16, v4.17, v4.18.19, v4.19, v4.19.1, v4.19.2 и v4.20-rc2), версии FreeBSD 12, версии macOS 10.15 (Catalina) и версиях Windows 8 и 10. Исследователи обнаружили одну уязвимость в FreeBSD, три в MacOS и четыре в Windows 8 и Windows 10. Больше всего проблем было выявлено в Linux — 18. Шестнадцать из них содержались в различных подсистемах Linux (USB Core, USB Sound и net-work), одна была связана с драйвером хост-контроллера Linux USB, а последняя — с драйвером USB-камеры. Исследовательская группа сообщила о своих находках разработчикам ядра Linux, и они выпустили 11 исправлений для уязвимостей в прошлом году. Специалисты намерены опубликовать USBFuzz на GitHub в качестве проекта с открытым исходным кодом после выступления на конференции Usenix. Источник: https://www.securitylab.ru/news/508720.php
  8. Власти Великобритании намерены пресечь продажи устройств, якобы защищающих от вредного воздействия 5G с помощью «квантовых технологий». Мошенники решили обогатиться за счет приверженцев теории заговора, уверенных в том, что технологии 5G используются для причинения вреда здоровью и жизням людей (в частности, для распространения коронавируса). Несмотря на отсутствие доказательств связи между строительством станций 5G и пандемией COVID-19, жители Великобритании даже поджигали сотовые вышки с целью «остановить коронавирус». Как раз на таких категорично настроенных граждан и нацелились мошенники. За 300 фунтов стерлингов (стоимость более «продвинутых» вариантов превышает 900 фунтов стерлингов) они предлагают USB-флэш-накопители под названием 5GBioShield, якобы использующие «каталитический нейтрализатор» для защиты от воздействия «вредных частот». Как сообщается на сайте, где можно заказать устройство, «нейтрализатор» позволяет «защитить дом и семью благодаря голографическому нанослойному каталитическому нейтрализатору, который можно носить при себе или положить возле смартфона или любого другого устройства, излучающего электромагнитное поле». Специалисты ИБ-компании Pen Test Partners разобрали устройство и обнаружили, что оно представляет собой самую обычную USB-флэшку, которую за копейки можно купить у любого китайского продавца электроники. Никакого «нанослойного нейтрализатора» внутри 5GBioShield специалисты, конечно же, не нашли. Тем не менее, устройство активно рекламируется членом комитета по вопросам 5G городского совета Гластонбери Тоби Холлом (Toby Hall). «Мы пользуемся им, и нам оно очень помогает», — заявил Холл. В настоящее время специалисты британской организации по защите прав потребителей Trading Standards работают совместно с подразделением по борьбе с мошенничеством лондонской полиции над тем, чтобы отключить сайт, продающий мошеннические устройства. Источник: https://www.securitylab.ru/news/508721.php
  9. Прокуратура Бостона предъявила жителю Нью-Йорка Виталию Антоненко обвинение в серии киберпреступлений, незаконном обороте кредитных карт и отмывании денежных средств с помощью криптовалюты. Антоненко был арестован и задержан в марте 2019 года по обвинению в отмывании денег в нью-йоркском международном аэропорту имени Джона Кеннеди после того, как он прибыл туда из Украины с компьютерами и другими цифровыми носителями, на которых находились сотни тысяч украденных номеров платежных карт. По версии следствия, подозреваемый продавал похищенные данные в даркнете, а заработанные средства, предположительно, отмывал с помощью биткойна. Как указано в обвинительном заключении, молодой человек вместе с соучастниками исследовал Сеть на предмет уязвимостей в компьютерных сетях, содержащих номера счетов кредитных и дебетовых карт, данные платежных карт и другую конфиденциальную информацию. Путем осуществления SQL-инъекций преступники получали доступ к сетям, извлекали необходимые данные и продавали их на подпольных торговых площадках. Предъявленные обвинения суммарно предполагают наказание в виде тюремного заключения сроком до 25 лет, а также штраф в размере до $750 тыс. Источник: https://www.securitylab.ru/news/508733.php
  10. В последних версиях Android компания Google строго ограничила ресурсы и элементы, к которым у приложений есть доступ. Тем не менее, существует множество подозрительных приложений, запрашивающих разрешения на действия, не требующиеся им для работы. К примеру, специалисты из VPNpro обнаружили в Google Play Store целый ряд таких приложений, в общей сложности установленных более чем на 150 млн устройств. Разработчиком приложений, названных специалистами VPNpro «шпионским ПО», является зарегистрированная в Ханчжоу китайская компания QuVideo. Разработчик известен своим популярным видеоредактором VivaVideo, насчитывающим порядка 100 млн установок из Google Play Store. В 2017 году VivaVideo наряду еще с 40 китайскими приложениями было признано властями Индии вредоносной или шпионской программой. По словам экспертов, обнаруженные ими приложения от QuVideo, в частности VivaVideo, запрашивают «опасные разрешения», в том числе разрешение на чтение и запись файлов на внешние накопители и доступ к геолокационным данным, которые видеоредактору ни к чему. Речь идет о приложениях SlidePlus (1 млн установок), а также о платной версии VivaVideo. Кроме того, QuVideo принадлежит индийское приложение VidStatus, установленное на 50 млн устройствах. Программа запрашивает сразу девять опасных разрешений, в том числе доступ к геолокационным данным, контактам и спискам звонков. ПО признано вредоносным компанией Microsoft, так как содержит скрытый троян для удаленного доступа AndroidOS/AndroRat. Подобные трояны способны похищать средства с банковских счетов, криптовалютных кошельков и PayPal-аккаунтов. В Apple App Store исследователи обнаружили четыре приложения от QuVideo – VivaVideo, SlidePlus, VivaCut и Tempo. В Google Play Store приложения VivaCut и Tempo также присутствуют, но их издателями значатся другие разработчики. Источник: https://www.securitylab.ru/news/508735.php
  11. Эксперты компании Cyberreason Nocturnus рассказали, что обнаруженный в 2019 году загрузчик Valak теперь превратился в полноценный инфостилер и атакует компании в США и Германии. Исследователи пишут, что за последние полгода малварь получила более 20 обновлений и теперь представляет собой полноценную и самостоятельную угрозу. Valak распространяется при помощи фишинговых атак и документов Microsoft Word, содержащих вредоносные макросы. Если малварь проникла в систему, то на зараженную машину загружается файл .DLL с именем U.tmp­ и сохраняется во временную папку. Затем выполняется вызов WinExec API и загружается JavaScript-код, устанавливая соединение с управляющими серверами. После этого на зараженный хост загружаются дополнительные файлы, которые декодируются с использованием Base64 и XOR, и развертывается основная полезная нагрузка. Чтобы надежно закрепиться в скомпрометированной системе, малварь вносит изменения в реестр и создает запланированное задание. После этого Valak переходит к загрузке и запуску дополнительных модулей, отвечающих за обнаружение и кражу данных. Два основных пейлоада (project.aspx и a.aspx) выполняют разные функции. Первый управляет ключами реестра, планированием задач и вредоносной активностью, а второй (внутреннее имя PluginHost.exe) представляет собой исполняемый файл для управления дополнительными компонентами вредоноса. Модуль ManagedPlugin обладает самыми разными функциями: собирает системную информацию (локальные и доменные данные); имеет функцию Exchgrabber, целью которой является проникновение в Microsoft Exchange путем хищения учетных данных и сертификатов домена; имеет верификатора геолокации и функцию захвата скриншотов; содержит инструмент Netrecon для сетевой разведки. Источник: https://xakep.ru/2020/05/28/valak/
  12. ИБ-исследователи компании ESET обнаружили новые атаки русскоязычной хакерской группы Turla (она же Waterbug, Snake, WhiteBear, VENOMOUS BEAR и Kypton), направленные на два министерства иностранных дел в Восточной Европе, а также на парламент неназванной страны в Кавказском регионе. По данным аналитиков, эти атаки произошли в январе 2020 года и использовали обновленную версию малвари ComRAT. Напомню, что первое официальное упоминание хак-группы Turla было датировано 2008 годом и связано со взломом Министерства обороны США. Из-за этого довольно долгое время считалось, что группировка начала свою деятельность примерно в 2007 году, но несколько лет назад ИБ-специалисты обнаружили следы Turla в атаках 20-летней давности, то есть теперь считается, что группировка, вероятно, была активна с начала конца 90-х годов. В разное время с Turla связывали многочисленные инциденты информационной безопасности – захват спутниковых каналов связи для маскировки своей деятельности, атаки на органы государственного управления и стратегические отрасли, включая оборонную промышленность в Европе, на Ближнем Востоке, в Азии и Африке. Вредонос ComRAT также известен под названием Agent.BTZ и является одним из старейших инструментов Turla. Эту малварь хакеры использовали еще в 2008 году, для хищения данных из сети Пентагона. За последние годы ComRAT обновлялся несколько раз: новые версии были обнаружены в 2014 и 2017 годах. Последняя версия малвари, известная как ComRAT 4, появилась в 2017 году, однако в опубликованном на этой неделе отчете ESET говорится, что исследователи обнаружили новую вариацию ComRAT 4, имеющую сразу две новые функции. Первая из этих функций — способность малвари собирать логи антивирусов с зараженного хоста и загружать их на один из своих управляющих серверов. Не совсем ясно, зачем это нужно членам Turla, но аналитики ESET полагают, что операторы малвари могут собирать логи, чтобы лучше понимать, какой из образцов вредоносного ПО был обнаружен защитными решениями. Эту информацию можно использовать для последующей настройки малвари, чтобы избежать обнаружений в других системах. Вторая новая функциях – это возможность контролировать ComRAT через почтовый ящик Gmail. То есть, по сути, в настоящее время малварь имеет не один, а два C&C-механизма. Первый — это классический метод связи с удаленным сервером посредством HTTP для получения инструкций, которые нужно выполнить на зараженных хостах. Второй и новый метод — это использование веб-интерфейса Gmail. Эксперты пишут, что последняя версия ComRAT 4 захватывает управление одним из браузеров жертвы, загружает предопределенный файл cookie и затем обращается к Gmail. В почтовом ящике малварь читает последние письма в папке «Входящие», откуда загружает вложения, а затем читает инструкции, содержащиеся в этих файлах. Суть этого метода заключается в том, что каждый раз, когда хакерам из Turla нужно раздать новые команды установкам ComRAT, работающим на зараженных хостах, злоумышленники просто отправляют письмо на конкретный адрес Gmail. Все данные, собранные после выполнения инструкций, полученных таким образом, отправляются обратно в почтовый ящик Gmail, откуда данные передаются операторам малвари. Аналитики ESET объясняют, что, невзирая на эти новые функции, Turla продолжает использовать ComRAT так же, как раньше, то есть малварь обычно выступает в роли полезной нагрузкой второго уровня на уже зараженных хостах. Обычно ComRAT используется для поиска в файловой системе определенных файлов, их хищения и передачи на удаленный сервер (как правило, для этого применяются аккаунты OneDrive или 4shared). Напомню, что пару недель назад эксперты «Лаборатории Касперского» тоже опубликовали отчет о некоторых старых инструментах Turla, которые недавно получили интересные обновления. Так, новая версия малвари COMpfun получила новую систему связи с управляющим сервером: C&C-протокол вредоноса теперь полагается в работе на коды состояния HTTP. Источник: https://xakep.ru/2020/05/27/new-comrat/
  13. Компания Microsoft предупредила организации об опасности шифровальщика PonyFinal, атаки которого уже были зафиксированы в Индии, Иране и США. Малварь основывается на Java и используется для атак, которые вручную направляют операторы PonyFinal. То есть хакеры взламывают корпоративные сети и вручную размещают там вымогательское ПО, а не распространяют шифровальщика автоматизировано, через почтовый спам или наборы эксплоитов, как это бывает обычно. Microsoft сообщает, что, как правило, точкой вторжения выступает учетная запись на сервере управления системами, куда операторы PonyFinal вторгаются при помощи брутфорс атак и подбора слабых паролей. На сервере хакеры деплоят скрипт Visual Basic, который запускает реверс шелл PowerShell для сбора и хищения данных. Проникнув в сеть целевой компании, злоумышленники распространяю заражение и на другие локальные системы, а затем внедряют сам вымогатель PonyFinal. В большинстве случаев хакеры атакуют рабочие станции, на которых установлена ​​Java Runtime Environment (JRE), так как PonyFinal написан на Java. Но специалисты Microsoft отмечают, что также они фиксировали случаи, когда группировка самостоятельно устанавливала JRE в системах жертв перед запуском шифровальщика. Зашифрованные с помощью PonyFinal файлы обычно имеют расширение .enc. Схема шифрования PonyFinal считается надежной, то есть пока не существует способов и бесплатных инструментов для расшифровки пострадавших данных. По данным ИБ-экспертов Майкла Гиллеспи и MalwareHunterTeam, вымогатель PonyFinal появился в начале текущего года, и пока от его активности пострадали считанные единицы компаний, что лишь подтверждает теорию о том, что PonyFinal используется в целевых атаках на тщательно отобранные цели.­ Специалист Emsisoft Майкл Гиллеспи отмечает, что пользователи, которые загружали образцы малвари на сайт ID-Ransomware для идентификации, находились в Индии, Иране и США. По информации Microsoft, PonyFinal входит в короткий список вымогателей, управляемых живыми операторами. В последнее время такие вредоносы неоднократно применялись против организаций из сектора здравоохранения, невзирая на текущую пандемию коронавируса. Помимо PonyFinal этот список включает: RobbinHood, NetWalker, Maze, REvil (Sodinokibi), Paradise, RagnarLocker, MedusaLocker и LockBit. Источник: https://xakep.ru/2020/05/28/ponyfinal/
  14. На прошлой неделе в Сиэтле (США) был арестован гражданин Украины по подозрению в участии в киберпреступной группировке FIN7, похитившей порядка $1 млрд у американцев. Согласно судебным документам , Денис Ярмак обвиняется в сговоре с целью взлома зачищенных компьютеров для осуществления мошеннических операций, умышленном причинении вреда защищенному компьютеру, сговоре с целью мошенничества с использованием средств связи, банковском мошенничестве и краже личности с отягчающими обстоятельствами. Ярмак подозревается в участии в киберпреступных операциях с использованием целенаправленного фишинга для получения несанкционированного доступа к компьютерам с целью их заражения вредоносным ПО, сбора сведений, похищения логинов и паролей, данных банковских карт и другой персонально идентифицируемой информации. Во многих случаях Ярмак предположительно предоставлял другим участникам FIN7 похищенные данные сотрудников различных компаний. Кроме того, у него был доступ к десяткам папок с данными жертв через используемый группировкой портал JIRA. В сентябре прошлого года свою вину признал один из руководителей FIN7 украинец Федор Гладыр (Хладыр). Кроме того, в 2019 году власти США предъявили обвинения еще одной ключевой фигуре – гражданину Украины Андрею Колпакову. Тем не менее, группировка по-прежнему активна . К примеру, в марте нынешнего года ФБР предупредило об очередной вредоносной кампании FIN7, в ходе которой киберпреступники рассылают жертвам по обычной почте бандероли с подарками и зараженными USB-флэш-накопителями. Источник: https://www.securitylab.ru/news/508697.php
  15. Издание Bleeping Computer предупреждает, что новая версия трояна AnarchyGrabber ворует пароли и токены пользователей, отключает 2ФА и распространяет малварь среди друзей жертвы. И для всего этого злоумышленники модифицируют официальный клиент Discord. Как правило, злоумышленники распространяют AnarchyGrabber через Discord, выдавая трояна за игровой чит, хакерский инструмент или пиратский софт. Если жертва клюнула на эту удочку, после установки троян модифицирует JavaScript-файлы клиента Discord, чтобы превратить его в малварь, которая способна похитить токен пользователя. Используя этот токен, хакеры получают возможность войти в Discord под видом своей жертвы. Однако на прошлой неделе была замечена новая версия AnarchyGrabber, содержащая ряд новых функций. Теперь малварь носит название AnarchyGrabber3, похищает пароли жертв в формате простого текста, а также может использовать зараженный клиент Discord для дальнейшего распространения угрозы среди всех друзей пострадавшего. Отмечается, что похищенные таким способом пароли могут использоваться для взлома учетных записей на других сайтах. После установки AnarchyGrabber3 использует файл %AppData%\Discord\[version]\modules\discord_desktop_core\index.js клиента Discord для загрузки других JavaScript-файлов, добавленных малварью. Как видно на иллюстрации ниже, при запуске Discord модифицированный скрипт загружает файл с именем inject.js из новой папки 4n4rchy. Затем этот файл загрузит в клиент другой вредоносный файл — discordmod.js. Эти скрипты разлогинивают пользователя из клиента Discord и предлагают ему войти в приложение заново. Как только жертва осуществляет вход, модифицированный клиент Discord пытается отключить двухфакторную аутентификацию для учетной записи. Затем клиент использует веб-хук для передачи адреса электронной почты, имени пользователя, токена, обычного текстового пароля и IP-адреса на специальный канал Discord, находящийся под контролем злоумышленников. После этого «подправленный» клиент Discord ждет дальнейших команд от своих операторов. Одна из них может приказать взломанным клиентам Discord разослать вредоносные сообщения всем друзьям жертвы, содержащее все ту же малварь. Исследователи пишут, что этот компонент облегчает преступникам распространение AnarchyGrabber3, а также может применяться для распространения других типов вредоносных программ. Издание предупреждает, что основная опасность AnarchyGrabber заключается в том, что большинство его жертв даже не знают о том, что были заражены. Так, после запуска исполняемого файла AnarchyGrabber3 и изменения файлов клиента Discord, троян практически никак не проявляет себя и не запускается снова. То есть вредоносного процесса, который мог бы обнаружить антивирус, попросту нет, а зараженный компьютер все равно остается частью ботнета. Фактически, единственный способ удалить AnarchyGrabber3 — это удалить клиент Discord и установить его заново. Источник: https://xakep.ru/2020/05/27/anarchygrabber/
×
×
  • Create New...